Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用

このページでは、Firewall Manager のコンテンツ監査セキュリティグループポリシーの仕組みについて説明します。

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーを使用して、組織のセキュリティグループで使用中のルールを監査し、ポリシーアクションを適用します。コンテンツ監査セキュリティグループポリシーは、ポリシーで定義した範囲に従って、AWS 組織内で使用中のすべてのユーザー定義セキュリティグループに適用されます。

コンソールを使用してコンテンツ監査セキュリティグループポリシーを作成する方法については、「コンテンツ監査セキュリティグループポリシーの作成」を参照してください。

ポリシーの範囲リソースタイプ

次のリソースタイプにコンテンツ監査セキュリティグループポリシーを適用できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス

  • Elastic Network Interface

  • Amazon VPC セキュリティグループ

セキュリティグループは、明示的に範囲内にある場合、または範囲内のリソースに関連付けられている場合、ポリシーの範囲で考慮されます。

ポリシールールのオプション

コンテンツ監査ポリシーごとに、マネージドポリシールールまたはカスタムポリシールールのいずれかを使用できますが、両方は使用できません。

  • マネージドポリシールール - マネージドルールを含むポリシーでは、アプリケーションとプロトコルのリストを使用して、Firewall Manager が監査して準拠または非準拠としてマークされるルールを制御できます。Firewall Manager によって管理されているリストを使用できます。独自のアプリケーションリストとプロトコルリストを作成および使用することもできます。これらのリストタイプおよびカスタムリストの管理オプションの詳細については、「Firewall Manager のマネージドリストの使用」を参照してください。

  • カスタムポリシールール - カスタムポリシールールを含むポリシーでは、既存のセキュリティグループをポリシーの監査セキュリティグループとして指定します。監査セキュリティグループルールは、Firewall Manager が監査して準拠または非準拠としてマークされるルールを定義するテンプレートとして使用できます。

監査セキュリティグループ

ポリシーで監査セキュリティグループを使用するには、Firewall Manager 管理者アカウントを使用して監査セキュリティグループを作成する必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

コンテンツ監査セキュリティグループポリシーに使用するセキュリティグループは、Firewall Manager によって、ポリシーの範囲内にあるセキュリティグループの比較参照としてのみ使用されます。Firewall Manager は、組織内のどのリソースにも関連付けません。

監査セキュリティグループでルールを定義する方法は、ポリシールール設定での選択によって異なります。

  • マネージドポリシールール – マネージドポリシールール設定では、監査セキュリティグループを使用して、ポリシー内の他の設定を上書きし、許可または拒否しなければ別のコンプライアンスに関する結果を発生させ得るルールを明示的に許可または拒否します。

    • 監査セキュリティグループで定義されているルールを常に許可することを選択した場合、監査セキュリティグループで定義されているルールと一致するルールは、他のポリシー設定にかかわらず、ポリシーに準拠しているものとみなされます。

    • 監査セキュリティグループで定義されているルールを常に拒否することを選択した場合、監査セキュリティグループで定義されているルールと一致するルールは、他のポリシー設定にかかわらず、ポリシーに非準拠であるものとみなされます。

  • カスタムポリシールール: カスタムポリシールール設定について、監査セキュリティグループは、範囲内のセキュリティグループルールで許容できるものと許容できないものの例を提示します。

    • ルールの使用を許可する場合は、すべての範囲内セキュリティグループに、ポリシーの監査セキュリティグループルールの許可範囲にあるルールのみを含める必要があります。この場合、ポリシーのセキュリティグループルールは、許容できる操作の例を示します。

    • ルールの使用を拒否する場合は、すべての範囲内セキュリティグループに、ポリシーの監査セキュリティグループルールの許可範囲内にないルールのみを含める必要があります。この場合、ポリシーのセキュリティグループは、許容できない処理の例を示します。

ポリシーの作成と管理

監査セキュリティグループポリシーを作成するときは、自動修復を無効にする必要があります。自動修復を有効にする前に、ポリシー作成の影響を確認することをお勧めします。予想される影響を確認したら、ポリシーを編集して自動修復を有効にできます。自動修復が有効な場合、Firewall Manager は範囲内セキュリティグループで非準拠のルールを更新または削除します。

監査セキュリティグループポリシーの影響を受けるセキュリティグループ

組織内のすべてのユーザー定義セキュリティグループは、監査セキュリティグループポリシーの範囲に含める資格があります。

レプリカセキュリティグループはユーザー定義ではないため、監査セキュリティグループポリシーの範囲に直接適用することはできません。ただし、ポリシーの自動修復アクティビティの結果として更新できます。共通セキュリティグループポリシーのプライマリセキュリティグループはユーザー定義であり、監査セキュリティグループポリシーの範囲内に含めることができます。監査セキュリティグループポリシーがプライマリセキュリティグループに変更を加えた場合、Firewall Manager はそれらの変更をレプリカに自動的に伝達します。